Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

为什么认证只是您云安全计划的一部分

电子邮件

1 min read

为什么认证只是您云安全计划的一部分

电子邮件

1 min read

为什么认证只是您云安全计划的一部分

人们经常问我,一个好的安全计划是什么。我多么想指出我的安全外围中的一个方面来用作例子,但有多个项目需要突出。

Attestations 并不总是衡量您的防御姿态

根据定义,证明是表明某事明显的指示。在安全的情况下,特别是安全程序方面,这意味着以官方身份进行认证。




人们经常问我什么是好的安全程序。尽管我想指出我的安全周边的一个方面作为例子,但有多个项目需要强调。该行业依赖于证明和认证来衡量您的安全防御。工程师和操作员会告诉您,您的实际安全周边和威胁评估能力定义了您的安全程序。我会告诉您,测量的合规证明和您的安全团队的操作能力共同定义了您的程序。不过,仅凭证明并不是衡量程序的准确基准。




证明是行业必需,以确保遵守联邦、地方和州法规以及行业最佳实践。ISO、NIST或DoD标准构成了大多数证明的基础。例如,NIST发布了一套标准和技术指南,帮助组织建立对政府“可接受”的周边防御。然而,正如我将要概述的那样,仅仅因为标准已设定,并不意味着实施总是优秀的。

部署一个工具不意味着它正在提供价值

控件允许在实施、运营增长和创新中灵活运用。然而,不幸的是,有些组织利用这灵活性只是为了走形式,但实际上并没有真正的防御措施。




这种问题的一个典型例子是入侵检测/防护系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织投资于 IDS/IPS 作为标准的安全措施,以防御恶意流量和数据渗漏。行业中充斥着制造各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建而不是购买系统。




我最近离开了一家这样的组织,他们使用开源工具“构建”了自己的入侵检测系统。审计员被告知该系统是一个“了不起的工具”,甚至提供了流量的例子。但当我更深入研究该工具提供的遥测数据时,我意识到流量根本没有被分析。相反,流量只是通过传感器,因为它根本没有配置以捕获或警报任何流量。此外,管理该工具所使用的凭据由一位前员工设置,并且在他离职后从未更新过。因此,基本上,该工具闲置了数月,没有任何人工干预。这不仅让公司面临风险,也危及了外围防御。




一个精明的审计员不会发现这个问题,因为证明不会查找所有系统的“操作”信息——标准实际上只是问答的一层。在事实上,大多数证明仅仅是衡量工具是否存在,而不是操作可行性。此外,大多数审计员不够技术,不容易区分功能性 IDS/IPS 和非功能性的。审计的核心依赖于公司展现其最好的一面,而不是回答难题。审计员在审计过程中还必须涵盖大量的控件,因此时间是其分析质量中的一个重要因素。




仅凭一份证明会告诉你一个公司有成熟的安全计划和控件。要求潜在合作伙伴完成供应商调查也不能带给你信心。调查只是以不同的格式概述相同的信息。那么,你如何评估一个成熟的安全计划呢?

控件允许在实施、运营增长和创新中灵活运用。然而,不幸的是,有些组织利用这灵活性只是为了走形式,但实际上并没有真正的防御措施。




这种问题的一个典型例子是入侵检测/防护系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织投资于 IDS/IPS 作为标准的安全措施,以防御恶意流量和数据渗漏。行业中充斥着制造各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建而不是购买系统。




我最近离开了一家这样的组织,他们使用开源工具“构建”了自己的入侵检测系统。审计员被告知该系统是一个“了不起的工具”,甚至提供了流量的例子。但当我更深入研究该工具提供的遥测数据时,我意识到流量根本没有被分析。相反,流量只是通过传感器,因为它根本没有配置以捕获或警报任何流量。此外,管理该工具所使用的凭据由一位前员工设置,并且在他离职后从未更新过。因此,基本上,该工具闲置了数月,没有任何人工干预。这不仅让公司面临风险,也危及了外围防御。




一个精明的审计员不会发现这个问题,因为证明不会查找所有系统的“操作”信息——标准实际上只是问答的一层。在事实上,大多数证明仅仅是衡量工具是否存在,而不是操作可行性。此外,大多数审计员不够技术,不容易区分功能性 IDS/IPS 和非功能性的。审计的核心依赖于公司展现其最好的一面,而不是回答难题。审计员在审计过程中还必须涵盖大量的控件,因此时间是其分析质量中的一个重要因素。




仅凭一份证明会告诉你一个公司有成熟的安全计划和控件。要求潜在合作伙伴完成供应商调查也不能带给你信心。调查只是以不同的格式概述相同的信息。那么,你如何评估一个成熟的安全计划呢?

控件允许在实施、运营增长和创新中灵活运用。然而,不幸的是,有些组织利用这灵活性只是为了走形式,但实际上并没有真正的防御措施。




这种问题的一个典型例子是入侵检测/防护系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织投资于 IDS/IPS 作为标准的安全措施,以防御恶意流量和数据渗漏。行业中充斥着制造各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建而不是购买系统。




我最近离开了一家这样的组织,他们使用开源工具“构建”了自己的入侵检测系统。审计员被告知该系统是一个“了不起的工具”,甚至提供了流量的例子。但当我更深入研究该工具提供的遥测数据时,我意识到流量根本没有被分析。相反,流量只是通过传感器,因为它根本没有配置以捕获或警报任何流量。此外,管理该工具所使用的凭据由一位前员工设置,并且在他离职后从未更新过。因此,基本上,该工具闲置了数月,没有任何人工干预。这不仅让公司面临风险,也危及了外围防御。




一个精明的审计员不会发现这个问题,因为证明不会查找所有系统的“操作”信息——标准实际上只是问答的一层。在事实上,大多数证明仅仅是衡量工具是否存在,而不是操作可行性。此外,大多数审计员不够技术,不容易区分功能性 IDS/IPS 和非功能性的。审计的核心依赖于公司展现其最好的一面,而不是回答难题。审计员在审计过程中还必须涵盖大量的控件,因此时间是其分析质量中的一个重要因素。




仅凭一份证明会告诉你一个公司有成熟的安全计划和控件。要求潜在合作伙伴完成供应商调查也不能带给你信心。调查只是以不同的格式概述相同的信息。那么,你如何评估一个成熟的安全计划呢?

评估整个Cloud Security Program

首先,你应该至少审查声明和调查报告,而不是执行摘要。这将为您提供第三方审查的程序概览。其次,你应该确定地查看公司是否进行第三方渗透测试或漏洞奖励计划。个人而言,我不太喜欢漏洞奖励,但我每年都支持第三方渗透测试。渗透测试为您提供结构化的防御测试和关于漏洞的真实反馈。最后,审查公司用于实施的安全文档(通常是目录)。这包括(但当然不限于)安全政策、事件响应和漏洞管理。有经验的安全团队会主动提供这些文件和材料,作为正常业务的一部分。




我通常会从公司数据访问的角度评估每个供应商和合作伙伴。也就是说,如果合作伙伴或供应商管理公司数据,他们会受到比不管理数据的供应商更多的审查。在评估安全计划时请记住业务目的。我会审查业务目的和所涉及信息的类型,然后从该角度进行评估,而不是以相同的方式对待所有合作伙伴和供应商。如有疑问,请始终要求更多信息。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

R

Reach

G

Grow

M

Manage

A

Automate

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。